Helm hè un gestore di pacchetti per Kubernetes, qualcosa di simile apt-get di UbuntuIn questu articulu, daremu un'ochjata à a versione precedente di helm (v2) cÚ u serviziu tiller installatu per difettu, attraversu u quale accederemu à u cluster.
Preparamu u cluster per fĂ questu, eseguite u cumandamentu:
kubectl run --rm --restart=Never -it --image=madhuakula/k8s-goat-helm-tiller -- bash
Dimostrazione
- Se Ăšn cunfigurate nunda di piĂš, helm v2 principia u serviziu tiller, chĂŹ hĂ RBAC cĂš diritti di amministratore di cluster cumpletu.
- Dopu a stallazione in namespace
kube-systemapparetiller-deploy, è apre ancu u portu 44134, ligatu à 0.0.0.0. Questu pò esse verificatu cÚ telnet.
$ telnet tiller-deploy.kube-system 44134
- AvĂ vi ponu cunnette vi Ă u serviziu tiller. Useremu u binariu di timone per fĂ operazioni quandu cumunicĂ cĂš u serviziu di tiller:
$ helm --host tiller-deploy.kube-system:44134 version
- Pruvemu di ottene i secreti di u cluster Kubernetes da u spaziu di nomi
kube-system:
$ kubectl get secrets -n kube-system
- Avà pudemu creà a nostra propria carta, in quale creeremu un rolu cÚ diritti di amministratore è assignà stu rolu à u contu di serviziu predeterminatu. Utilizendu u token da stu contu di serviziu, avemu ricevutu un accessu cumpletu à u nostru cluster.
$ helm --host tiller-deploy.kube-system:44134 install /pwnchart
- AvĂ quandu
pwnchartimplementatu, u contu di serviziu predeterminatu hĂ accessu amministrativu cumpletu. Cuntrollemu di novu cumu uttene sicreti dakube-system
kubectl get secrets -n kube-system
L'esekzione riescita di stu script dipende da cume tiller hè statu implementatu à volte l'amministratori implementanu in un spaziu di nome separatu cÚ privilegi differenti. Helm 3 Ún hè micca suscettibile à tali vulnerabilità perchè ... Ún ci hè micca tiller in questu.
Nota di u traduttore: L'usu di e pulitiche di rete per filtrĂ u trafficu in un cluster aiuta Ă prutezzione di stu tipu di vulnerabilitĂ .
Source: www.habr.com
